Một domain gồm thường bao gồm các loại máy tính sau: • Các máy domain controller chạy Windows 2000 server: Mỗi domain controller lưu giữ và duy trì một bản copy cơ sở dữ liệu thư mục
Trang 1Chương III: Cấu hình mạng active directory vμ domain controller
3.1.1 Active Directory & Domain Name System (DNS)
Việc cài đặt Active Directory (AD) yêu cầu phải có một DNS server ở trên mạng Sở dĩ như vậy vì DNS như giải pháp đặt tên domain cũng như các dịch vụ
địa phương của nó
Mỗi domain và object trong domain phải có tên duy nhất không trùng với bất cứ
domain hay object nào khác DNS tổ chức theo một cấu trúc phân tầng được gọi
là domain namespace Ví dụ một domain có thể đặt tên theo kiểu như sau:
Microsoft.com
Hình 3.1 sau biểu diễn cấu trúc namespace trong một miền của Windows 2000
Hình 3.1: Sơ đồ Namespace trong cùng một miền (domain)
Từng máy tính riêng biệt được đặt tên bằng cách nối thêm tên của máy tính đó vào bên trái của miền Ví dụ:
Microsoft.com
Div2.Microsoft.com Dic1.Microsoft.com
Dept1.Microsoft.com
Dept2.Microsoft.com
Dept1.Microsoft.com
Dept2.Microsoft.com
Trang 2Active Directory được cấu trúc theo kiểu phân tầng, từ trên xuống dưới bao gồm
các thành phần sau:
• Forests
• Trees
• Domain
• Organization Unit (OU)
• Object
Sau đây chúng ta sẽ xem qua các thành phần này theo thứ tự từ dưới lên trên
Objects
Object (đối tượng) là một tài nguyên có thể nhận biết của mạng, ví dụ như máy tính, máy in, người sử dụng, OU, Group, Shared Folder v.v
Object được nhận biết thông qua các thuộc tính (attribute) và đặc điểm của
chúng
Object Class (lớp đối tượng): là nhóm logic các object Ví dụ về các lớp đối
tượng:
• Người sử dụng (users)
• Nhóm người sử dụng (Groups)
• Máy tính
• Miền (Domains)
• Organizational units
Container objects: Một số object có thể bao gồm nhiều object khác nhau và
được gọi là Container objects (đối tượng chứa) Ví dụ về Container objects
là OU hay Domain
Organization units (OU)
OU (đơn vị tổ chức) là những container objects dùng để tổ chức các object trong một domain thành những nhóm quản trị logic nhỏ hơn
Trang 3 Một OU có thể chứa các objects khác nhau như các tài khoản người dùng,
các nhóm, các máy tính, máy in, các trình ứng dụng, các tệp sử dụng chung (file shares), và các dơn vị tổ chức con khác
Cấu trúc phân tầng này hoàn toàn là độc lập trong mỗi domain trong mạng Mỗi domain có thể có một sơ đồ tổ chức các OU riêng của mình
Organization Units
Điều quan trọng khi thiết lập các OU là phải xác định được phạm vi quản lý cho mỗi OU Chẳng hạn như trong OU của toàn công ty mỗi phòng được chia làm một OU nhỏ, mỗi OU này có một người quản trị và anh ta cũng có quyền thêm hay loại bỏ người dùng trong domain Như vậy phải thiết lập sao cho anh ta chỉ có thể thêm bớt người dùng trong OU của phòng đó mà thôi
Domains
Domains (miền) là một đơn vị chủ chốt trong cấu trúc logic của Active
Directory services
Tất cả các object trên mạng trong Active Directory đều tồn tại trong một
ou
ou
computer printer user Shared folder
Trang 4 Domain hoạt động như một đường biên an tòan cho mạng Người quản trị
Domain chỉ được quyền quản lý các objects trong domain mà thôi Mọi
chính sách bảo mật (Security polices) và thiết lập bảo mật (settings) như
quyền quản trị, các chính sách bảo mật, các danh sách kiểm soát truy nhập
(Acess control List - ACLs) được lập riêng cho mỗi domain và không thể có
tác dụng đối với các domain khác
Mỗi cơ quan hay cơ sở kinh doanh vừa và nhỏ được thiết lập thành một
domain
Một domain gồm thường bao gồm các loại máy tính sau:
• Các máy domain controller chạy Windows 2000 server: Mỗi domain
controller lưu giữ và duy trì một bản copy cơ sở dữ liệu thư mục
(Directory) của domain
• Các máy chủ thành viên (Member server) chạy Windows 2000: Mỗi
domain controller lưu giữ và duy trì một bản copy cơ sở dữ liệu thư mục
(directory) của domain Máy chủ thành viên không chứa thông tin thư
mục và không thể xác nhận người dùng, chúng có chức năng cung cấp
tài nguyên sử dụng chung như các share folders hoặc các máy tin
• Các máy trạm (Client computer) chạy Windows 2000 Professional:
cho phép người dùng truy cập tới các tài nguyên trong domain
Trong giáo trình này chủ yếu tập trung vào việc thiết lập một domain, tuy nhiên chúng ta cũng xem lướt qua khái niệm về trees và forests
Trees
Tree (cây) là một tổ chức phân tầng bao gồm một nhóm của một hay nhiều
domain Tất cả các domain trong một tree có thể chia sẻ sử dụng chung với
nhau các thông tin và tài nguyên của tree đó
Mỗi tree có một thư mục duy nhất Trong directory có một catalog chung trong đó tập hợp thông tin của các domain trong tree đó và một catalog chung trong đó chứa tất cả các định nghĩa của tất cả các domain objects
Mỗi domain duy trì một phần của directory bao gồm các thông tin người dùng trong domain đó Trong một tree, một người dùng khi đăng nhập vào
1 domain có thể sử dụng các tài nguyên trong các domain khác, nếu anh ta
được uỷ quyền cho các quyền truy nhập tương ứng
Trang 5iMac
iMac
iMac iMac
iMac
Tất cả các domain trong một tree đều sử dụng chung một không gian đặt tên (namespace) và một cấu trúc đặt tên phân cấp (hierarchical naming
structure) Namespace là tập hợp các quy tắc đặt tên tạo ra cấu trúc phân
cấp hoặc đường dẫn của một tree Theo chuẩn DNS, tên domain của domain còn phải là tên tương đối của domain con đó gộp với tên domain mẹ
Forests
Forests (rừng) là tập hợp của một hay nhiều trees
Forests cho phép một tổ chức/doanh nghiệp nhóm trạng thái của các chi
Trang 6động độc lập với nhau, nhưng vẫn liên lạc với toàn bộ tổ chức, doanh nghiệp
3.1.3 Cấu trúc vật lý của Active Directory
Khi thiết kế một Active Directory một điều quan trọng là phải chú ý tới cấu trúc vật lý của nó Mỗi domain controller sẽ có một bản copy của Active Directory của domain đó Mỗi domain có thể có nhiều domain controller, người quản trị
domain có thể thực hiện những thay đổi trên bất cứ domain controller nào
Những thay đổi trên một domain controller sẽ tự động lặp lại trên tất cả các
domain controller khác
Một điểm mạnh của Active Directory Service là người dùng không cần phải biết
về các đường biên địa lý của mạng Tuy nhiên người quản trị mạng thì phải hiểu
rõ về các đường biên này và sự kết nối giữa chúng Điều này rất có ý nghĩa đối
với mạng WAN Bởi vì khi có một thay đổi ở tất cả những domain khác, trong đó
có những cái ở những vùng xa Điều này làm ảnh hưởng đến khả năng tải của
đường lối mạng WAN Để tránh điều này người ta có thể thiết lập các Active
Directory site nhỏ và quản trị viên có thể điều phối sự truyền tải giữa các site
bằng cách cho phép sự lặp lại trên tất cả các domain controller chỉ xảy ra vào giờ
cao điểm
3.2 Thiết lập một máy Windows 2000 Domain Controller
3.2.1 Giới thiệu về Windows 2000 Domain Controller
Windows 2000 Domain Controller là một máy tính chạy Windows 2000 Server
trong đó có chứa một copy của Active directory database Nó được dùng để xác thực người dùng, thực thi các chính sách và định vị các objects trong active
directory
Windows 2000 Server không được gán chức năng làm domain controller Chức
năng làm domain controller được gán sau khi cài đặt xong, hoặc bất cứ thời
điểm nào trong tương lai
3.2.2 Các yêu cầu của domain controller
Để nâng cấp một máy chủ Windows 2000 Server thành domain controller, nó phải có đủ chỗ để chứa các active directory database và file nhật ký (log file)
Nó cũng phải có ít nhất một partition được format dưới dạng NTFS bởi Windows
2000 Chỗ trống trên ổ cứng dành cho những dữ liệu này tối thiểu là 230MB
Trang 7Ngoài ra domain controller còn đòi hỏi phải có một domain name system (DNS)
server Tuy nhiên nếu trong môi trường chưa thiết lập sẵn DNS server, bạn có
thể chọn để cài đặt và thiết lập DNS trên domain controller này
3.2.3 Thiết lập domain controller (Cài đặt trên Active Directory)
Để bắt đầu thiết lập máy chủ Windows 2000 Server thành một domain controller
chúng ta cần phải chạy chương trình Configure Your Server Wizard Chương
trình này được chạy qua menu: Start\Programs\Administrative
Tools\Configure Your Server
• Trên khung bên trái của wizard này nhấn chuột vào thư mục Active
Directory và các chức năng mà máy tính có thể làm xuất hiện Chúng ta
có thể cho chạy chương trình này bằng cách nhấn chuột vào Start, chọn
RUN và đánh dấu vào lệnh DCPROMO
• Nhấn chuột vào mục Start để chạy Active Directory Installation
Wizard
Nhấn chuột vào mục NEXT để tiếp tục Màn hình hiển thị tiếp theo sẽ yêu
cầu chọn để cài đặt máy domain controller này vào một domain mới, hay thêm một domain controller này vào một domain có sẵn.
• Chọn domain controller for a new domain, sau đó nhấn chuột vào mục next để tiếp tục
• Màn hình hiển thị tiếp theo hỏi bạn rằng domain mới này là một domain
gốc hay nó là một domain trong một tree, chọn Create a new domain
tree và nhấn chuột và Next
• Màn hình hiển thị tiếp theo hỏi bạn rằng tree mới tạo thuộc về một
forest có sẵn hay nó là domain đầu tiên ở trong một forest mới Chọn
Create a new forest of domain tree và nhấn chuột vào Next để tiếp
tục
• Trên màn hình hiển thị tiếp theo yêu cầu bạn phải cung cấp tên của
domain Tên cung cấp ở đây phải là một tên theo khuôn dạng DNS
name, ví dụ Microsoft.com Nhấn chuột vào Next để tiếp tục
• Trên màn hình hiển thị tiếp theo bạn sẽ cung cấp NetBIOS name để cho
Windows NT, Windows 95, 98 và Windows3.x sử dụng khi nối vào trong
Trang 8• Màn hình hiển thị tiếp theo hỏi bạn về vùng để chứa active directory
database và log file Log file dùng để đảm bảo khả năng phục hồi của cơ
sở dữ liệu Cố gắng để chọn vùng chứa log file trong một ổ cứng khác với ổ cứng chứa cơ sở dữ liệu của active directory
• Tiếp theo bạn sẽ được yêu cầu để chọn vùng chứa SYSVOL directory
SYSVOL directory chứa các file mà sẽ được lặp lại các domain controller khác Thư mục này bắt buộc chứa trong partition đã được
format theo dạng NTFS 5.0
• Nếu trong máy bạn chưa thiết lập một DNS thì màn hình hiển thị tiếp
theo sẽ yêu cầu bạn cài đặt 1 DNS Server Nhấn chuột vào Next để tiếp
tục
• Màn hình hiển thị tiếp theo yêu cầu bạn quyết định các người dùng
trong domanin của bạn chỉ dùng toàn Windows 2000 hay có cả phiên bản khác như Windows NT
• Màn hiển thị tiếp theo yêu cầu bạn gõ vào mật khẩu của người quản trị mạng
• Màn hiển thị cuối cùng thông báo cho bạn một lần cuối cùng những thay đổi mà bạn sẽ thực hiện Hãy đọc thật kỹ những thay đổi để đảm bảo bạn biết chính xác những gì mà bạn muốn thay đổi Sau khi bạn
nhấn chuột vào Next, máy sẽ copy toàn bộ file cần thiết vào máy của
bạn và thực hiện nâng cấp máy này thành domain controller
